La privacy batte il ransomware come principale preoccupazione assicurativa

Mentre i direttori aziendali e i team di sicurezza si affrettano per assicurarsi di soddisfare le nuove normative sulla sicurezza informatica della Securities and Exchange Commission (SEC), i reclami dovuti alla cattiva gestione delle informazioni di identificazione personale (PII) protette potrebbero rivaleggiare con il costo degli attacchi ransomware, avverte David Anderson, vicepresidente della divisione cyber responsabilità presso Woodruff Sawyer, una società di intermediazione assicurativa nazionale.

Sebbene le rivendicazioni sulla privacy richiedano anni per farsi strada attraverso il processo legale, "le perdite sono generalmente altrettanto catastrofiche nel corso di tre-cinque anni quanto una richiesta di ransomware lo è nel corso di tre-cinque giorni", afferma.

In un presentazione incentrata sulle tendenze del contenzioso nel 2024, Dan Burke, vicepresidente senior e leader nazionale delle pratiche informatiche presso Woodruff Sawyer, ha osservato: "Le accuse di tracciamento dei pixel sono l'ultimo obiettivo per l'ordine dei querelanti, che perseguita le aziende che tracciano l'attività del sito Web attraverso i pixel sullo schermo senza ottenere il consenso adeguato."

Attività del genere potrebbero essere il motivo per cui il 31% degli assicuratori informatici in un sondaggio di Woodruff Sawyer ha scelto la privacy come principale preoccupazione per il 2024, seconda solo al ransomware, scelto dal 63% degli intervistati.

La privacy è una questione aziendale

James Tuplin, vicepresidente senior e responsabile cyber internazionale di Mosaic Insurance, concorda sul fatto che quest'anno gli assicuratori daranno uno sguardo molto più attento alle tendenze della privacy. Spesso ci vogliono dai cinque ai sette anni perché le controversie sulla privacy arrivino ai tribunali, conferma, il che significa che il 2024 vedrà il culmine dei casi sulla privacy presentati tra il 2017 e il 2019, prima che molti paesi e stati degli Stati Uniti inizino ad approvare nuove leggi sulla privacy. Ad esempio, il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea è entrato in vigore nel 2018, quindi questi casi rappresentano le prime violazioni del GDPR.

Per l’assicuratore, tuttavia, il compenso per le richieste di risarcimento sulla privacy potrebbe non essere così grande perché “i sottoscrittori hanno molto tempo per giocare con il loro capitale mentre le perdite raggiungono la risoluzione finale”, spiega Anderson. Questo perché gli assicuratori mantengono l'interesse nel detenere fondi in garanzia mentre i sinistri si fanno strada attraverso negoziazioni e contenziosi.

Sebbene i consigli di amministrazione dispongano generalmente di consulenti competenti in materia di privacy, i consigli di amministrazione tendono ancora a considerare le questioni relative alla privacy come una questione IT piuttosto che una questione aziendale, afferma Tuplin. Alcuni regolatori, inclusa la SEC, stanno mettendo I CISO nel mirino di regolamenti anche se non controllano i budget né hanno l’autorità per risolvere tutti i problemi di sicurezza informatica, aggiunge.

Monitoraggio delle leggi sulla privacy

Uno dei motivi per cui la privacy è diventata una sfida per i consigli di amministrazione e i team di sicurezza è che in molti casi le organizzazioni non sanno che tipo di dati stanno raccogliendo e dove risiedono tali dati, osserva Sherri Davidoff, fondatore e CEO di LMG Security. Le aziende tendono ad accumulare dati come una risorsa piuttosto che considerarlo un materiale pericoloso, afferma.

"È come scorie nucleari", dice. "Più dati hai, maggiore è il rischio che corri."

Le aziende devono fare un lavoro migliore per eliminare i dati, in particolare le PII, che potrebbero innescare un violazione normativa o legale qualora i dati finissero nelle mani sbagliate. Mentre gli esperti di sicurezza lo sono stati raccontandolo alle aziende da anni Poiché hanno bisogno di sapere quali dati hanno e dove si trovano, molte aziende, comprese quelle soggette a un rigoroso controllo normativo, spesso fanno un pessimo lavoro nel classificare e identificare la posizione di tutti i loro dati, afferma.

Un’altra grande sfida che molte aziende devono affrontare è che non tengono traccia di tutte le leggi sulla privacy e dei requisiti normativi dei dati in loro possesso. Comprendere il Il panorama della legislazione statunitense sulla privacy dei dati è già abbastanza difficile, ma diventa ancora più impegnativo se si considera questo quasi ogni stato ha leggi uniche occupandosi specificamente delle cartelle cliniche e dei dati dei bambini. Inoltre, devono farlo anche le organizzazioni che dispongono di informazioni personali sui cittadini dell'Unione Europea rispettare il GDPR. Le aziende che operano in altri paesi devono chiedere a un consulente legale di esaminare le leggi di ogni paese in cui un'azienda opera per garantire che rispettino tali leggi sulla privacy.

Piccolo errore = grande perdita

Molte aziende pensano che se rispettano le varie normative di conformità, aderiscono alle leggi statali e dispongono di un’assicurazione informatica, allora sono a posto.
"In effetti, questo non è sufficiente", afferma Michelle Schaap, che guida la pratica sulla privacy e la sicurezza dei dati presso lo studio legale Chiesa Shahinian & Giantomasi (CSG Law). "Anche se potrebbe essere sufficiente per proteggersi da una causa del consumatore o da un'azione legale da parte dei procuratori generali o di un'altra agenzia di controllo contro l'entità compromessa, ci sono altre considerazioni."

Ciò che potrebbe sembrare un’infrazione minore, come il mancato rispetto completo di una politica sulla privacy pubblicata, potrebbe innescare molteplici sanzioni per violazione normativa.

"È una pratica commerciale ingannevole", afferma Schaap. “Se dici che stai facendo X e, in realtà, non lo stai facendo, questo diventa il primo conteggio nella richiesta della FTC. Ogni stato ha le proprie piccole leggi FTC, o leggi sulla protezione dei consumatori.

Un altro esempio di quella che potrebbe sembrare un'infrazione minore che i team di sicurezza aziendali potrebbero trascurare ma che potrebbe generare una violazione di conformità o legale è una semplice richiesta di rinuncia. Quando un consumatore chiede a un'azienda di essere rimossa da una mailing list, la richiesta deve coprire tutti gli indirizzi e-mail utilizzati dal richiedente per rispettare tutte le leggi statali. Pertanto, anche se un’azienda dichiara di essere conforme alla legge, potrebbe non esserlo per tutti gli stati in cui opera. Dichiarare erroneamente la propria aderenza alle leggi sulla privacy potrebbe comportare il rifiuto di una richiesta di risarcimento assicurativo.

Per colmare alcune di queste lacune di conformità di cui potrebbero non essere nemmeno a conoscenza, Schaap raccomanda alle aziende di sfruttare qualsiasi aiuto fornito dal loro assicuratore informatico, come piani di sicurezza e altri esercizi, per rimanere dalla parte giusta delle normative e mantenere le loro polizze in buone condizioni. invece.

Questo non è solo teorico. Nel 2022, un'azienda ha dichiarato erroneamente l'utilizzo dell'autenticazione a più fattori sui propri prodotti domanda di assicurazione questionario. La compagnia di assicurazione informatica, Travellers, ha citato in giudizio la compagnia, trattenendo alla fine i premi pagati dalla compagnia nonostante abbia annullato la polizza di assicurazione informatica e negando la richiesta.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance